„Dragonforce Ransomware“ operacija sėkmingai pažeidė valdomą paslaugų teikėją ir panaudojo savo „SimpleHelp“ nuotolinio stebėjimo ir valdymo (RMM) platformą, kad pavogtų duomenis ir diegtų šifravatorius pasroviui klientų sistemose.
Sophosas buvo įvestas ištirti išpuolio ir manyti, kad grėsmės veikėjai išnaudojo senesnių „SimpleHelp“ pažeidžiamumų, stebimų kaip CVE-2024-57727, CVE-2024-57728 ir CVE-2024-57726, grandinę, kad būtų galima pažeisti sistemą.
„SimpleHelp“ yra komercinis nuotolinio palaikymo ir prieigos įrankis, kurį paprastai naudoja JSP, kad būtų galima valdyti sistemas ir diegti programinę įrangą klientų tinkluose.
Sophos ataskaitoje teigiama, kad grėsmės veikėjai pirmiausia naudojo „SimpleHelp“, norėdami atlikti žvalgybą klientų sistemose, pavyzdžiui, rinkti informaciją apie MSP klientus, įskaitant įrenginių pavadinimus ir konfigūraciją, vartotojus ir tinklo ryšius.
Tuomet grėsmės veikėjai bandė pavogti duomenis ir diegti iššifruotojus klientų tinkluose, kurie buvo užblokuoti viename iš tinklų, naudojant „Sophos Endpoint“ apsaugą. Tačiau kitiems klientams nebuvo taip pasisekė, kad įrenginiai užšifruoti ir pavogti duomenis dėl dvigubo išsiplėtimo atakų.
„Sophos“ pasidalino TOK, susijusiomis su šia ataka, kad padėtų organizacijoms geriau ginti savo tinklus.
JSP jau seniai yra vertingas „Ransomware Gangs“ tikslas, nes vienas pažeidimas gali sukelti atakų prieš kelias kompanijas. Kai kurie „Ransomware“ filialai specializuojasi įrankiuose, kuriuos dažniausiai naudoja MSP, pavyzdžiui, „SimpleHelp“, „ConnectWise ScreenConnect“ ir „Kaseya“.
Tai paskatino pražūtingus išpuolius, įskaitant „Revil“ didžiulę išpirkos programų išpuolį prieš Kaseya, kuri paveikė daugiau nei 1000 bendrovių.
„Dragonforce“ įgyja žinomumą po JK mažmeninės prekybos išpuolių
„Dragonforce Ransomware Gang“ neseniai padidėjo žinomumu po to, kai buvo susieta su aukšto lygio mažmeninės prekybos pažeidimų banga, apimanti grėsmės veikėjus, naudojančius išsklaidytą vorų taktiką.
Kaip pirmą kartą pranešė „BleepingComputer“, grupės išpirkos programinė įranga buvo dislokuota išpuolių prieš Jungtinės Karalystės mažmenininką „Marks & Spencer“. Netrukus tie patys grėsmės veikėjai pažeidė kitą JK mažmenininką „Co-op“, kuris patvirtino, kad buvo pavogta nemaža dalis klientų duomenų.
„Bleepingcomputer“ anksčiau pranešė, kad „Dragonforce“ bando sukurti „kartelį“, siūlydamas baltojo etiketės „Ransomware-A-A-Service“ (RAAS) modelį, leidžiantį filialams diegti savo „Encryptor“ prekės ženklo versijas.
„Dragonforce“, laikydamasis vis labiau draugiško filialo požiūrio ir augančio aukų sąrašo, greitai tampa pagrindiniu „Ransomware“ kraštovaizdžio žaidėju.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.
